Věříme, že v tématice GDPR jste už zkušení a ostřílení. Ale i přesto jsme se rozhodli znovu zaměřit na jedno důležité téma - správce vs. zpracovatel osobních údajů. Jen pro jistotu.
Pokud víte, zda spadáte do kategorie správce nebo zpracovatele osobních údajů, máte ten hlavní předpoklad pro zajištění souladu s GDPR. V těchto dvou pojmech je totiž velmi podstatný rozdíl. A jestli s přehledem víte, jak na tom jste, pak je třeba vše zdokumentovat. Konečnou odpovědnost za zajištění výkonu práv subjektů údajů a právní odpovědnost totiž v konečném důsledku vždy nese správce.
Nejčastěji mezi dvěmi organizacemi zpracovávajícími osobní údaje mohou nastat následující tři vztahy:
Správce versus zpracovatel osobních údajů
- Správce nařizuje zpracovateli, jak bude zpracování osobních údajů provádět.
- Zpracovatel musí jednat jen a pouze na základě pokynů od správce a sám nesmí údaje použít ani zveřejnit.
- Správce je ten, kdo je uveden v informacích o ochraně soukromí.
- Pokud správce spolupracuje se zpracovatelem, je jeho povinností mít uzavřenou závaznou dohodu tak, aby byly upraveny podmínky stanovené GDPR nařízením.
- Jestli si stále nejste jistí, pak vám možná pomůže příklad z praxe. Pokud vám mzdy zpracovává externí účetní, pak jste v tomto vztahu vy správcem a účetní zpracovatelem.
Společní správci osobních údajů
- V tomto případě rozhodují o způsobu zpracování osobních údajů správci společně.
- Společní správci také mohou zpracovávat stejné údaje nebo používat údaje toho druhého pro vlastní účely.
- V informacích o ochraně soukromí musí být uvedeni všichni správci osobních údajů
- Je nutné, aby se správci dohodli na svých povinnostech a hranicích. Mělo by se jednat o formální ujednání v podobě smlouvy nebo dohody o sdílení údajů.
Příklad z praxe: Najmete si společnost pořádající zážitkové akce. Tato firma zorganizuje dotovaný seskok padákem. V tomto případě je zapotřebí ošetřit nakládání s osobními údaji.
Oddělení správci údajů
- Obvykle se jedná o situaci, kdy jedna organizace poskytne údaje jiné organizaci, ale každá si bude údaje zpracovávat nezávisle na té druhé a pro své vlastní účely.
- Obě organizace jsou povinny poskytnout informace o ochraně soukromí subjektům údajů.
- Každá z těchto organizací nese zodpovědnost za dodržení nařízení GDPR.
Příkladem z praxe může být například situace, kdy má zaměstnavatel poskytovatele penzijního připojištění pro své zaměstnance.
Dostali jste se při zpracovávání osobních údajů do situace, kdy jste si nebyli jistí, zda jste na straně správce, nebo zpracovatele osobních údajů? Neváhejte se na nás obrátit, rádi s vámi vše probereme.
